NTLM リレー攻撃
NTLM リレー攻撃 とは何ですか?
NTLM リレー攻撃MITRE T1557.001 に該当する中間者攻撃。被害者の NTLM 認証を別のサービスへ転送し、パスワードを知らないまま被害者になりすます。
NTLM リレーは NTLM 認証のチャレンジ・レスポンス方式を悪用します。攻撃者は WebDAV や UNC パス、PetitPotam 型の強制認証などを用いて被害者ホストに自分のインフラへの認証を強要し、その NTLM メッセージを LDAP、SMB、ADCS の Web 登録、MSSQL などのターゲットへ転送します。ターゲットは正規のチャレンジ応答を受理し、攻撃者に被害者の権限を付与します。平文パスワードもハッシュも盗まないため、署名とチャネルバインディングが効いた経路だけが防御になります。対策は SMB 署名・LDAP 署名・Channel Binding (EPA) の強制、可能な箇所での NTLM 無効化、強制認証ベクタの修正です。標準ツールは Impacket の ntlmrelayx です。
● 例
- 01
PetitPotam でドメインコントローラを強制認証させ、その NTLM を ADCS にリレーして DC 証明書を取得する。
- 02
ワークステーションの NTLMv2 を xp_cmdshell 有効な MSSQL にリレーして RCE を得る。
● よくある質問
NTLM リレー攻撃 とは何ですか?
MITRE T1557.001 に該当する中間者攻撃。被害者の NTLM 認証を別のサービスへ転送し、パスワードを知らないまま被害者になりすます。 サイバーセキュリティの 攻撃と脅威 カテゴリに属します。
NTLM リレー攻撃 とはどういう意味ですか?
MITRE T1557.001 に該当する中間者攻撃。被害者の NTLM 認証を別のサービスへ転送し、パスワードを知らないまま被害者になりすます。
NTLM リレー攻撃 はどのように機能しますか?
NTLM リレーは NTLM 認証のチャレンジ・レスポンス方式を悪用します。攻撃者は WebDAV や UNC パス、PetitPotam 型の強制認証などを用いて被害者ホストに自分のインフラへの認証を強要し、その NTLM メッセージを LDAP、SMB、ADCS の Web 登録、MSSQL などのターゲットへ転送します。ターゲットは正規のチャレンジ応答を受理し、攻撃者に被害者の権限を付与します。平文パスワードもハッシュも盗まないため、署名とチャネルバインディングが効いた経路だけが防御になります。対策は SMB 署名・LDAP 署名・Channel Binding (EPA) の強制、可能な箇所での NTLM 無効化、強制認証ベクタの修正です。標準ツールは Impacket の ntlmrelayx です。
NTLM リレー攻撃 からどのように防御しますか?
NTLM リレー攻撃 に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
NTLM リレー攻撃 の別名は何ですか?
一般的な別名: NTLM リレー, T1557.001。
● 関連用語
- attacks№ 1057
SMB リレー攻撃
NTLM リレーの一種で、攻撃者が被害者の SMB 認証を別の SMB サーバーに転送し、被害者のままコード実行やファイルアクセスを得る攻撃。
- attacks№ 620
LLMNR ポイズニング
MITRE T1557.001 に該当する中間者攻撃手法。UDP/5355 上の Link-Local Multicast Name Resolution プロトコルを悪用し、被害者を攻撃者管理のホストに誘導する。
- attacks№ 715
NBT-NS ポイズニング
UDP/137 上のレガシーな NetBIOS Name Service 通信を悪用して名前応答を偽造し、NTLM 認証を収集する中間者攻撃。
- attacks№ 924
Responder 攻撃
Laurent Gaffie 氏の Responder を用いて LLMNR・NBT-NS・mDNS をポイズニングし、不正な認証サーバーを立ち上げて、ローカルネットワーク上の NTLM 認証情報を収集・リレーする攻撃。
- attacks№ 790
Pass-the-Hash
平文パスワードではなく盗み取った NTLM ハッシュを用いて Windows に認証する、資格情報再利用攻撃。